Recunoașterea facială în aeroporturi: persoanele fizice ar trebui să aibă un control maxim asupra datelor biometrice

24 May 2024

Bruxelles, 24 mai – În cursul celei mai recente sesiuni plenare, CEPD a adoptat un aviz privind utilizarea tehnologiilor de recunoaștere facială de către operatorii aeroportuari și companiile aeriene pentru a eficientiza fluxul de pasageri în aeroporturi*. Acest aviz în temeiul articolului 64 alineatul (2), în urma unei cereri din partea autorității franceze pentru protecția datelor, abordează o chestiune de aplicabilitate generală și produce efecte în mai multe state membre.

Președintele CEPD, Anu Talus, a declarat: „Din ce în ce mai mulți operatori aeroportuari și companii aeriene din întreaga lume pilotează sisteme de recunoaștere facială care permit pasagerilor să treacă mai ușor prin diferitele puncte de control. Este important să se țină seama de faptul că datele biometrice sunt deosebit de sensibile și că prelucrarea lor poate crea riscuri semnificative pentru persoane. Tehnologia de recunoaștere facială poate duce la false negative, prejudecăți și discriminare. Utilizarea abuzivă a datelor biometrice poate avea, de asemenea, consecințe grave, cum ar fi frauda de identitate sau imitarea identității. Prin urmare, îndemnăm companiile aeriene și operatorii aeroportuari să opteze pentru modalități mai puțin intruzive de eficientizare a fluxurilor de pasageri, atunci când este posibil. În opinia CEPD, persoanele ar trebui să dețină un control maxim asupra propriilor date biometrice.”

Avizul analizează compatibilitatea prelucrării cu principiul limitării stocării [articolul 5 alineatul (1) litera (e) din RGPD], principiul integrității și confidențialității [articolul 5 alineatul (1) litera (f) din RGPD, protecția datelor începând cu momentul conceperii și protecția implicită a datelor (articolul 25 din RGPD) și securitatea prelucrării (articolul 32 din RGPD)]. Respectarea altor dispoziții ale RGPD, inclusiv în ceea ce privește legalitatea prelucrării, nu intră în domeniul de aplicare al prezentului aviz.**

Nu există nicio cerință legală uniformă în UE pentru operatorii aeroportuari și companiile aeriene de a verifica dacă numele de pe permisul de îmbarcare al pasagerului corespunde cu numele din documentul lor de identitate, iar acest lucru poate face obiectul legislației naționale. Prin urmare, în cazul în care nu este necesară verificarea identității pasagerilor cu un document de identitate oficial, nu ar trebui efectuată o astfel de verificare cu ajutorul datelor biometrice, deoarece acest lucru ar conduce la o prelucrare excesivă a datelor.

În avizul său, CEPD a analizat conformitatea prelucrării datelor biometrice ale pasagerilor cu patru tipuri diferite de soluții de stocare, variind de la cele care stochează datele biometrice numai în mâinile persoanei și cele care se bazează pe o arhitectură de stocare centralizată cu modalități diferite. În toate cazurile, ar trebui prelucrate numai datele biometrice ale pasagerilor care se înscriu în mod activ și consimt să participe.

CEPD a constatat că singurele soluții de stocare care ar putea fi compatibile cu principiul integrității și confidențialității, protecția datelor începând cu momentul conceperii și implicit și securitatea prelucrării sunt soluțiile prin care datele biometrice sunt stocate în mâinile persoanei fizice sau într-o bază de date centrală, dar cu cheia de criptare numai în mâinile acestora. Aceste soluții de stocare, dacă sunt puse în aplicare cu o listă de garanții minime recomandate, sunt singurele modalități care contrabalansează în mod adecvat caracterul intruziv al prelucrării, oferind persoanelor fizice cel mai mare control. 


CEPD a constatat că soluțiile bazate pe stocarea într-o bază de date centralizată fie în aeroport, fie în cloud, fără cheile de criptare în mâinile persoanei fizice, nu pot fi compatibile cu cerințele privind protecția datelor începând cu momentul conceperii și în mod implicit și, în cazul în care operatorul se limitează la măsurile descrise în scenariile analizate, nu ar respecta cerințele de securitate a prelucrării.
În ceea ce privește principiul limitării stocării, operatorii trebuie să se asigure că au o justificare suficientă pentru perioada de păstrare preconizată și să o limiteze la ceea ce este necesar pentru scopul propus.

În continuare, autoritățile pentru protecția datelor au adoptat un raport privind activitatea grupului operativ ChatGPT. Acest grup operativ a fost creat de CEPD pentru a promova cooperarea între autoritățile pentru protecția datelor care investighează chatbotul dezvoltat de OpenAI.

Raportul oferă opinii preliminare cu privire la anumite aspecte discutate între autoritățile pentru protecția datelor și nu aduce atingere analizei care va fi efectuată de fiecare APD în ancheta lor în curs de desfășurare***.

Acesta analizează mai multe aspecte referitoare la interpretarea comună a dispozițiilor RGPD aplicabile relevante pentru diferitele investigații în curs, cum ar fi:

  • legalitatea colectării de date de formare („recuperare web”), precum și prelucrarea datelor pentru introducerea, ieșirea și instruirea ChatGPT.
  • echitate: asigurarea respectării RGPD este o responsabilitate a OpenAI și nu a persoanelor vizate, chiar și atunci când persoanele fizice introduc date cu caracter personal.
  • transparența și acuratețea datelor: operatorul ar trebui să furnizeze informații adecvate cu privire la natura probabilistică a rezultatelor ChatGPT și să facă referire în mod explicit la faptul că textul generat poate fi părtinitor sau format.
  • Raportul subliniază că este imperativ ca persoanele vizate să își poată exercita în mod eficient drepturile.

Membrii grupului operativ au elaborat, de asemenea, un chestionar comun ca o posibilă bază pentru schimburile lor cu IA deschisă, care este publicat ca anexă la raport.

În plus, CEPD a decis să elaboreze orientări privind IA generativă, concentrându-se ca un prim pas pe eliminarea datelor în contextul formării în domeniul IA.

În cele din urmă, CEPD a adoptat o declarație privind „pachetul privind accesul la datele financiare și plățile” al Comisiei [care include propunerile de regulament privind cadrul pentru accesul la datele financiare (FIDA), Regulamentul privind serviciile de plăți (PSR) și Directiva privind serviciile de plată 3 (PSD3)].

CEPD ia act de rapoartele Parlamentului European privind propunerile FIDA și PSR, dar consideră că, în ceea ce privește prevenirea și detectarea tranzacțiilor frauduloase, ar trebui incluse garanții suplimentare în materie de protecție a datelor în mecanismul de monitorizare a tranzacțiilor din propunerea PSR. Este important să se asigure că nivelul de interferență cu dreptul fundamental la protecția datelor cu caracter personal al persoanelor vizate este necesar și proporțional cu obiectivul de prevenire a fraudei în materie de plăți. 

Notă pentru editori:
* Avizul are un domeniu de aplicare limitat și nu examinează utilizarea recunoașterii faciale în general și, în special, nu acoperă utilizarea recunoașterii faciale în scopuri de securitate, controlul la frontiere sau de către agențiile de aplicare a legii.
** În cerere, se presupune că prelucrarea se va baza pe consimțământul fiecărui pasager. Cu toate acestea, având în vedere domeniul de aplicare limitat al cererii, avizul nu examinează temeiul juridic și, în special, valabilitatea consimțământului pentru o astfel de prelucrare.

***Până la 15 februarie 2024, OpenAI nu avea un sediu în UE, prin urmare mecanismul ghișeului unic (OSS) nu s-a aplicat și fiecare APD este competentă în ceea ce privește potențialele încălcări care au fost comise și s-au încheiat înainte de această dată. Investigațiile naționale privind potențialele încălcări comise înainte de februarie 2024 vor continua să fie discutate în cadrul grupului operativ. În cazul încălcărilor care continuă sau se produc după februarie 2024, se aplică mecanismul OSS.

Toate documentele adoptate în cursul sesiunii plenare a CEPD fac obiectul verificărilor juridice, lingvistice și de formatare necesare și vor fi puse la dispoziție pe site-ul CEPD după finalizarea acestora.

Comunicatul de presă publicat aici a fost tradus automat din limba engleză.  CEPD nu garantează acuratețea traducerii. Vă rugăm să consultați textul oficial în versiunea sa în limba engleză, în cazul în care există îndoieli.